1차공격시 24시간 타이머 설정

국가정보원, 안철수연구소 등 16개 주요 기관 및 기업에 대해 시작된 2차 분산서비스거부(DDoS) 공격은 대체로 1차 공격 시 사용된 '좀비PC'와 다른 PC를 숙주로 삼는 것으로 파악됐다.

9일 한국정보보호진흥원(KISA)과 업계에 따르면 이날 오후 6시께부터 시작된 2차 공격은 1차 때와 다른 좀비PC들에 심어진 악성코드가 유발한 것으로 분석됐다.

그러나 1차 공격 시의 좀비PC가 2차 공격 시에서도 이용됐을 가능성을 배제하고 있지 않다.

1차 공격 시 좀비PC에 심어진 악성코드가 다른 악성코드를 내려받는 기능을 갖추고 있어, 변종 악성코드가 다시 심어져 공격에 이용됐을 수도 있기 때문이다.

KISA 측에서는 2차 공격에 사용된 악성코드가 1차 공격 이전에 이미 PC에 심어졌을 가능성에 무게를 두고 있다.

그러나 1차 공격 이후 전파됐을 가능성에 대해서도 분석 중이다.

특히 1차 공격 시간이 24시간으로 제한된 것으로 추정돼 눈길을 끌었다.

외환은행과, 신한은행, 농협 등 은행 3사와 국회, 한나라당, 외교통상부 등의 사이트는 오후 6시께부터 공격을 받기 시작해 이날 오후 6시께 모두 공격이 멈춰졌다.

백악관 등 미국 사이트에 대한 공격도 24시간 만에 멈춘 것으로 추정되고 있다.

다만, 2차 공격 대상에도 포함된 청와대와 네이버, 옥션, 조선일보 등이 다른 사이트처럼 1차 공격으로부터 완전히 벗어났는지는 아직 명확히 파악되고 있지 않다.

이 때문에 2차 공격 대상 사이트도 일정 시간 동안 공격하도록 설계됐을 가능성이 있다.

KISA 관계자는 "아직 확실치 않지만, 상당수의 사이트가 비슷한 시간에 공격을 받았다가 중단됐다"면서 "그러나 시간을 두고 다시 공격이 재개될 가능성이 있기 때문에 면밀히 주시하고 있다"고 말했다.

공격 시간 설정은 이번 사이버테러가 기획단계에서 상당히 정교하게 준비됐다는 것을 방증한다.

KISA 측은 3차 이상의 공격에 대비해 긴장의 끈을 놓고 있지 않다.

2차 공격이 시작된 것으로 보아 순차적으로 공격이 계속될 수 있는 개연성이 있기 때문이다.

더욱이 아직 1, 2차 공격을 유발한 악성코드의 전파 경로를 파악하지 못하고 있기 때문에 이 경로로 악성코드가 추가로 유포될 수도 있다.

KISA 관계자는 "전파 경로를 찾는다고 해도 이미 감염된 PC는 어쩔 수 없이 악성코드를 치료해야 숙주로부터 벗어날 수 있다"면서 "전파 경로 발견은 이 같은 공격을 사전에 차단할 수 있는 계기가 될 것"이라고 말했다.

(서울연합뉴스) 이광빈 기자 lkbin@yna.co.kr